È passato un anno circa dalla mania del GDPR ed ecco che un’altra importante direttiva sta per entrare in vigore per coloro che operano nell'UE/SEE, cortesia di Bruxelles. Questa volta si tratta di introdurre una serie di misure di sicurezza nel mondo dei pagamenti online, incoraggiando al contempo la concorrenza tra i fornitori (entrambe cose positive per tutti noi). E… rullo di tamburi... il nome è ancora una volta un allettante acronimo: PSD2

Ma prima di iniziare..qual è il grande giorno per il termine di scadenza?

14 settembre 2019.

 

Ricordalo. Scrivilo sui tovaglioli. Aggiungilo in Asana. Annotalo sul tuo calendario. Fattelo tatuare....

 

Che cos'è la PSD2?

Questo cambiamento avrà un potenziale impatto sugli albergatori ogni volta che addebiteranno costi agli ospiti senza che questi ultimi siano fisicamente presenti (ad es. per prenotazioni online, depositi pre-soggiorno, spese di cancellazione, no show ed altro..)

In breve, i venditori online dovranno richiedere un’autenticazione forzata o autenticazione forte del cliente (SCA - Strong Customer Authentication) che richiede a sua volta l'autenticazione a due fattori (2FA - two factor authentication), per essere confusamente precisi, sulla maggior parte dei pagamenti effettuati dai clienti. L'idea di base è che, da settembre, le persone che acquistano articoli dovranno fornire due metodi di verifica quando effettuano transazioni online, ad esempio inserendo un codice dai loro telefoni o da un dispositivo indossabile (o wearable), una scansione biometrica o un PIN.

 

2FA-screenshot-768x288


 

In pratica, ciò implica un passaggio supplementare nella fase di prenotazione online per gli ospiti e di conseguenza maggiori intoppi durante i pagamenti. E, in sostanza, se l'ospite non si autentica ciò equivale a un potenziale calo delle conversioni sui pagamenti per la tua attività e a una potenziale perdita di denaro.

Quanto potrebbe influire tutto questo sulla tua attività? È difficile dirlo, ma quando, nel 2014, l'India ha introdotto l'autenticazione, le aziende di e-commerce hanno registrato da un giorno all’altro un calo del 25% nel business online. Certo, l’acquisto di un viaggio è un acquisto che presuppone un impegno diverso rispetto alla scelta di un nuovo bikini estivo, quindi il calo in questo campo dovrebbe essere inferiore. Inoltre, le cose torneranno alla normalità qualche settimana o mese dopo il 14 settembre, come è successo in India. Ci sarà, tuttavia, un cambiamento concreto, quindi dobbiamo tutti parlarne di più ...

(Non ti piacciono le sintesi? Dai un'occhiata alla nostra Appendice che descrive la PSD2 in dettaglio per una lettura entusiasmante prima di addormentarsi...)

 

Quali sono i prossimi passi che gli albergatori devono intraprendere?

La principale e valida preoccupazione riguarda la perdita di affari a causa dell' intoppo dovuto ai passaggi supplementari richiesti dall'autenticazione. Dopo tutto, il 20 percento di tutti i pagamenti online attualmente autenticati tramite la soluzione SCA più diffusa che già esiste, il 3D Secure, viene perso.. (si tratta di quella familiare ma fastidiosa funzione aggiuntiva dei fornitori di carte con il marchio "MasterCard SecureCode", "VISA Secure", "American Express SafeKey" ecc.)

 

3D-secure2-1024x490

 

La buona notizia è che il 3DS sta ottenendo un aggiornamento, che porterà il nome alquanto creativo di...3DS2. Questo dovrebbe rendere le cose di nuovo fluide e lisce... (vedi Appendice per dettagli più piccanti)

La cattiva notizia è che l’aggiornamento è ancora molto lontano e nessuno ha bisogno di 12-18 mesi di incertezza. Quindi avremo bisogno di usare ancora la vecchia versione...

È qui che interviene Mews (il...rullo di tamburi...14 settembre 2019)!


 

Come pensiamo di affrontare la PSD2 in Mews?

In breve, dovremo inviare un'email di verifica ad alcuni tuoi ospiti (non a tutti) per verificare i pagamenti. Francamente, questa è l'unica soluzione che esiste... fino a quando il mercato non si metterà al passo...

Quante delle tue prenotazioni saranno interessate da tale email? È difficile dirlo con certezza, ma per darti un'idea, Stripe crede che soltanto il 44% delle aziende potrebbe essere pronto entro la scadenza di settembre e questo si riferisce ai canali che utilizzi.

Guardiamo un po' le cose da una prospettiva più ampia: ci sono due metodi principali che veicoleranno i pagamenti online verso la tua struttura:

 

  • Prenotazioni dirette: indipendentemente dal fatto che ciò avvenga tramite il booking engine di Mews o la propria soluzione di prenotazione diretta, i dati della carta dell'ospite vengono archiviati in modo sicuro nel PMS.
  • Prenotazioni tramite OTA: possono verificarsi due eventualità; l'OTA trasmette i dettagli della carta dell'ospite, e tali dettagli vengono poi archiviati in modo sicuro nel PMS, oppure l'OTA emette una carta virtuale senza inviare i dettagli della carta dell'ospite.

 

Noi interveniamo sui pagamenti SOLO nei casi in cui i dettagli della carta dell'ospite vengono trasmessi al PMS. In questi casi, quando un cliente effettua una prenotazione, noi proviamo ad addebitare la carta, ovviamente in base alla politica di pagamento stabilita dalla struttura.

Ciò innesca istantaneamente l'invio automatico di una richiesta alla banca emittente per l'addebito della carta. Se la banca emittente non supporta il 3DS, la carta di debito/credito viene addebitata normalmente.

Se riceviamo una risposta dalla banca in cui viene richiesto il 3DS, noi inviamo automaticamente un'email 3DS al cliente. Tutto questo accade all'istante, quindi non devi preoccuparti di nulla...vogliamo solo spiegarti cosa accade dietro le quinte...

 

Email per l’approvazione del pagamento con carta

Nei casi in cui sia richiesta una verifica, il cliente riceverà un'email da Mews e dovrà confermare i dettagli della propria carta di credito tramite 3D Secure. Esempio di email:

 

Phone_PSD2-1024x536

Il cliente dopo aver cliccato su "Verifica Pagamento" verrà reindirizzato alla web app Mews Navigator su cui mostreremo informazioni dettagliate circa la prenotazione e il pagamento.

Il tasto "Verifica pagamento" attiva il 3D Secure e una volta completata la verifica, noi memorizziamo l'identificativo di questo "accordo" e lo utilizzeremo per qualsiasi transazione successiva da parte del titolare della carta in futuro.

 

Are you using the most intuitive PMS on the market? Mews is already automating operations and revolutionising the guest experience  in 50 countries!  CLICK HERE TO TRY MEWS FOR FREE!

 


 

Appendice

La seconda versione della direttiva UE sui servizi di pagamento (PSD2) è un punto di svolta nel panorama dei pagamenti europei. Le banche saranno tenute ad aprire i propri sistemi legacy verso l'esterno e a consentire a terzi di fornire servizi finanziari in aggiunta ai dati e infrastrutture delle banche stesse. In pratica, ciò significa che le banche non competeranno più solo con altre banche, ma con chiunque abbia una licenza per erogare servizi finanziari. Benvenuta concorrenza! 

In parole povere, ciò significa che entità come Google e Facebook potrebbero ora entrare a far parte del mondo dei pagamenti. Pertanto, in futuro, i clienti potrebbero essere in grado di utilizzare Google o Facebook come canale principale per effettuare e ricevere pagamenti pur continuando a disporre di denaro nei propri conti in banca.

 

Autenticazione forte del cliente (SCA)

Uno dei requisiti della PSD2 è quello di portare più sicurezza nel mondo dei pagamenti online. Attualmente, i clienti forniscono semplicemente un numero di carta di credito e un codice di verifica della carta (CVC) al Merchant nella pagina di checkout per effettuare il pagamento. Nell’imminente era della PSD2, saranno necessarie ulteriori informazioni e quasi tutti i pagamenti online dovranno essere protetti con la Strong Customer Authentication.

La SCA richiede l'applicazione di almeno due dei tre fattori per autenticare il cliente:

 

  1. Qualcosa che il cliente conosce (ad es. password, passphrase, PIN ecc.);

  2. Qualcosa che il cliente ha (ad es. smartphone, dispositivo indossabile, smart card ecc.);

  3. Qualcosa che il cliente possiede fisicamente (ad es. impronta digitale, caratteristiche del viso, voce ecc.).

 

La caduta e l'ascesa di 3D Secure

Esistono numerosi strumenti di autenticazione che soddisfano i requisiti di SCA e uno dei più noti è 3D Secure. 3D Secure è stato introdotto nel 2001 e viene utilizzato da tutte le principali reti di carte con il proprio marchio: "MasterCard SecureCode", "VISA Secure", "American Express SafeKey"...

In un processo di pagamento con 3D Secure, il titolare della carta inserisce i dettagli della propria carta e conferma il pagamento. Viene attivato un reindirizzamento ad un'altra pagina e il titolare della carta deve quindi approvare il pagamento mediante un codice unico o un qualsiasi altro tipo di password. Questi valori sono conosciuti solo dal titolare della carta e dalla banca emittente, il che aumenta il livello di sicurezza. Una volta che il codice o password sono stati convalidati dalla banca del cliente, il pagamento è "fortemente autenticato".

Il 3D Secure offre vantaggi anche per i Merchant, il più importante è quello che viene chiamato Liability Shift (letteralmente spostamento di responsabilità). Se un pagamento è stato autenticato con 3D Secure, la responsabilità per i pagamenti fraudolenti viene spostata dal Merchant alla banca emittente.

Sfortunatamente, l'esperienza del cliente 3D Secure presenta chiaramente intoppi maggiori. Quindi, per renderla più fluida, è stata introdotta una versione aggiornata di 3D Secure: 3D Secure 2. In breve, il 3D Secure 2 introduce più elementi nell'elaborazione di ciascun pagamento. La banca del titolare della carta può quindi decidere in modo più efficace se il 3D Secure va richiesto o meno sulla base delle proprie procedure di screening del rischio. Dal punto di vista dell'esperienza del cliente, verranno aggiunte anche nuove opzioni di autenticazione. Ad esempio, è possibile utilizzare lo smartphone e autenticare i pagamenti con l'impronta digitale o il riconoscimento facciale. Non è, inoltre, necessario il reindirizzamento a un'altra pagina: il sistema 3D Secure può essere incorporato direttamente nel sito Web o nell'app del Merchant. Tuttavia, il 3DS2 sarà probabilmente implementato correttamente solo nel 2020/21, quindi ci sarà da aspettare ancora un po’…

 

Qual è l'impatto della PSD2 sul settore dell'ospitalità?

Lo scenario tipico nel settore dell’ospitalità nell’ambito dei pagamenti online è il seguente:

 

  • Il cliente crea una prenotazione utilizzando il booking engine di prenotazione diretta o le OTA e fornisce i dettagli della carta di credito.
  • I dettagli della carta di credito sono archiviati in modo sicuro all'interno del PMS.
  • In base alle politiche di pagamento della struttura, il pagamento viene inizializzato per conto del cliente (= Transazione avviata dal Merchant, detta MIT - Merchant Initiated Transaction)

 

Nella maggior parte dei casi, non è richiesto alcun tipo di autenticazione da parte del titolare della carta. Questo dovrà cambiare nell'era della PSD2, altrimenti questi pagamenti saranno rifiutati dalla banca del titolare della carta.

 

Aspetta... cosa?

Innanzitutto è necessario stabilire un accordo per gli addebiti futuri tra il titolare della carta e la struttura. Tale accordo deve essere ottenuto tramite un pagamento unico autenticato secondo i requisiti SCA. Poi, qualsiasi addebito in futuro verrà elaborato come MIT, con riferimento a questo accordo "autenticato SCA".

 

Ci sono delle scadenze per la PSD2 in Europa?

La scadenza è il 14 settembre 2019. Da questa data in poi, le banche dell'UE/SEE rifiuteranno i pagamenti che non soddisfano i requisiti SCA (in teoria).

 

Ma questo vuol dire che tutti i pagamenti effettuati senza i requisiti SCA verranno rifiutati?

No. In alcuni casi la SCA potrebbe non essere richiesta a causa di esenzioni. Le esenzioni possono essere applicate nei seguenti casi:

 

  • Transazioni inferiori a 30 Euro, fino ad un importo cumulativo di 100 Euro o fino a 5 transazioni consecutive dall'ultima volta che è stata applicata la Strong Customer Authentication. Oltre i 100 Euro o oltre 5 transazioni consecutive, è necessario una nuova SCA;
  • Pagamenti ricorrenti (ad es. abbonamento mensile al servizio);
  • Pagamento a un beneficiario di fiducia: il Merchant è stato contrassegnato come di fiducia dal cliente;
  • Merchant a basso rischio: Merchant con un livello di chargeback (contestazione di addebito) molto basso;
  • Merchant Initiated Transaction (MIT): la transazione viene avviata per conto del cliente senza la necessità di alcuna autenticazione aggiuntiva;
  • MO/TO: i dati della carta di credito sono stati forniti dal titolare della carta via email o telefono;
  • Pagamenti corporate: pagamenti con carte di credito virtuali o altri tipi di carte detenute da agenti di viaggio online;

 

Si prega di notare che l’organo decisionale finale che determina se la SCA sia necessaria o meno, è la banca del titolare della carta. La SCA potrebbe essere richiesta anche se il pagamento si qualifica per una qualsiasi delle esenzioni sopra menzionate.

 

C'è vita dopo la PSD2?

Si prevede che la PSD2 avrà un impatto notevole sul settore dei pagamenti. Le imprese in Europa dovranno modificare il modo in cui elaborano i pagamenti per stare al passo nell'era post PSD2.

È importante sottolineare che ci sarà anche un impatto sui clienti. Verranno introdotti flussi di pagamento modificati e i clienti dovranno imparare ad usarli. Ci aspettiamo un calo del tasso di successo dei pagamenti nei primi mesi, ma a lungo termine, l'industria trarrà vantaggio da questa nuova regolamentazione grazie a costi ridotti, maggiore sicurezza e migliore esperienza utente, per citare solo alcuni vantaggi.

Non temere, Mews segue TUTTI gli aggiornamenti sulla SCA costantemente per assicurarsi di poter offrire il miglior servizio possibile ai propri clienti dal 14 settembre 2019.


 

Are you a subscriber? Our monthly Mewsletter is filled with unmissable insights, ideas and  inspiration for modern hoteliers!  SIGN UP HERE